外部信任关系
实验中域控的操作系统均为windows server 2008 R2 Enterprise。

域和林的级别均为windows 2003，或者以上。

两个林，一个林根域为，一个林根域为int.internal。

域的DNS服务器FQDN为：，IP为：192.168.1.10，DNS指向自己127.0.0.1。

int.internal域的DNS服务器FQDN为：WINDC.int.internal。

IP 为：192.168.1.100，DNS指向自己127.0.0.1或者192.168.1.100
建立域信任int.internal域，即中的资源可以共享给int.interanl域成员查看，即在域的文件夹属性——安全选项中可以添加int.intnal域的成员，而Int.internal域文件夹属性——安全选项中不可以添加域成员
在这里是信任域
Int.internal是被信任域
建立域的信任关系，首先要使对方的DNS能解析本地的DNS，方法有很多，如在对方的DNS上建立本地域的辅助DNS，也可以使用条件转发器。

在这里我们使用条件转发器。

在真实生产环境中两个林或域之间不能通信，分属不同的公司，对于两个林或域之间的通信，可请网络管理员设置路由信息。

一、建立DNS条件转发器
在这里DNS区域和AD目录集成在一起。

打开域的一台域控，在管理工具中打开DNS管理器，在左侧找到“条件转发器”，右击新建条件转发器，在弹出的对话框中输入要转发解析的对方DNS域名，这里输入被信任域“int.internal”和对方的DNS服务器的IP:192.168.1.100，点击确定，条件转发器建立成功。

真实环境中解析对方时间要长一些。

如下图：
在int.internal域的DNS服务器上设置也如此步骤，在条件转发器上输入域和DNS的IP:192.168.1.10，这里不再贴图。

二、建立信任
在域的一台域控上打开“Active Directory域和信任关系”，右击“”选择“属性”——“信任”选项卡，点击左下方的“新建信任”弹出“新建信任向导”对话框，如下图：
上图点击下一步，在出现对话框中输入要信任的域即被信任域int.internal，点击下一步，选择“外部信任”，外部信任是林内的域需要与不属于该林的其他域之间创建信任关系，不同于快捷信任关系，快捷信任关系是指林内的任何域信任其他林内的任何域的林信任关系。

点击下一步
因为我们的目标是int.internal域的成员可以在域中得到身份验证，所以我们选择“单向：外传”（指定域为int.internal），（如果选择“双向”则两个域的成员均可以在对方域中得到身份验证，这与我们的目标不合，“单向：内传”则是要在int.internal域建立信任关系时选择此项），点击下一步，如下图：
在“只是这个域”指的是这个域，如果选择“此域和指定域”再点击下一步，刚会要求输入指定域Int.internal，还要求有int.internal的具有管理员权限的用户和密码建立信任关系。

在这里选择第一个“只是这个域”，因为我们还要在Int.internal域上建立信任关系。

下一步，如下图：
全域性身份验证：举个例子，在域上共享的文件夹aaa，在int.internal域内成员默认就有直接查看，读取权限，而不需要在aaa的属性安全里更改添加任何账户。

如果要使int.internal成员对文件夹有更高的权限，则需要对aaa文件夹安全属性做添加具体的账户属性。

选择性身份验证：在域上共享一个文件夹aaa，在int.internal 域成员默认是打不开的，没有任何权限，需要添加具体的账户信息。

如果要进行访问遵循以下操作：
1.在信任域即上打开”Active Dirctory用户和计算机”找要被信任域int.internal能够访问的那台服务器或计算机，比如这台服务器。

2.右击的属性，选择“安全”选项卡，在“组和用户名”点击“添加”，在“位置”中选择“int.internal”，在下面对像名中输入要访问这台服务器或计算机的Int.internal域成员，在弹出的对话框中输入int.internal 有权限的账户和密码，然后两次确定，回到“安全”选项卡。

如下图
3.在“安全”选项卡中，定位到刚到的int.internal用户，在下面的权限中找到“允许身份验证”在后面的“允许”框中打“√”还可以选择其他权限。

如下图
设置完以上的操作后，Int.internal的用户susan才可以访问
这台服务器，对于具体的权限，可以这台服务器的文件夹属性安全选项卡中再具体细化。

要想Int.internal其他用户访问test 这台服务器，可重复操作，可以在int.internal域上建立一个全局安全组，将要访问test这台服务器的用户加入到这个组中集中管理。

在这里我们选择“全局性身份验证”，当然也可以选择“选择性身份验证”，这两种身份验证在信任关系建立起来后可以更改。

如下图：选择后，点击下一步
信任密码：用来建立信任关系时验证的密码，当在Int.internal建立传入关系时，也将出现此对话框，两端的密码必须一致，否则信任关系建立不成功。

如下图：
点击下一步，出现一个摘要，向导准备好创建信任。

如建立错误，可点击上一步进行返回操作。

如无错误，点击下一点，如下图：
信任创建完毕，成功创建信任关系，点击下一步
“确认传出信任”这里选择“否”，也可以选择“是”，选择否，我们将在int.internal手动做出信任关系。

如下图，点击下一步
“确认传入信任”也选择否。

提示要在另一方被创建后再确认这个信任，当另一方int.internal信任被创建后，这面会自动传入，不用再设置。

这里选择“否”，点击下一步。

如下图：
信任向导完成。

信任关系成功。

下面有警告，必须在另一个域中创建信任关系。

如下图。

接下来我们登录Int.internal域的DC创建信任关系。

三、登录int.internal的域控windc.int.internal。

（有些一样的设置省略解
释）
DNS的条件转发器，在这里不再贴图，如第一步。

打开“Active Directory域和信任关系”，展开，右击“int.internal”属性，选择“信任”选项卡。

新建信任关系，步骤同上
“信任方向”要注意。

这里要点击“单向：内传”了，因为在 域上做的是“单向：外传”
信任密码：和上面输入的信任密码要一致：如下图
“确认传入信任”要选择“是，确认传入信任”，输入具有管理员权限的账号和密码。

输入完后，如果密码或权限不足，则会有提示。

点下一步
完成创建信任关系
分别在两个域的域控上查看
至此两个域的信任关系创建完成，测试后，域的资源可以共享给int.internal域的成员。

而int.internal的资源不能共享给域。

实现了单向信任。

测试如下，在域的一台服务器上共享一个文件夹，在属性安全选项卡中可以添加Int.internal成员。

并可赋予其相应权限。